na... fangen die amis langsam an auch das gesamte netz auf offene rechner
zu scannen ???? (ich bin mir zu 100% sicher ein beachtlicher teil der spyware die im umlauf ist ist von irgendwelchen geheimdiensten der amis gecodet !! aber 100%)


hab den alarm heute von meiner firewall gemeldet bekommen ....
Portscan von:
IP:29.125.122.111
Remoteport: 50244

OrgName: DoD Network Information Center
OrgID: DNIC
Address: 3990 E. Broad Street
City: Columbus
StateProv: OH
PostalCode: 43218
Country: US

NetRange: 29.0.0.0 - 29.255.255.255
CIDR: 29.0.0.0/8
NetName: MILX25-TEMP
NetHandle: NET-29-0-0-0-1
Parent:
NetType: Direct Allocation
Comment: Defense Information Systems Agency
Comment: Washington, DC 20305-2000 US
RegDate:
Updated: 2002-10-07

OrgTechHandle: MIL-HSTMST-ARIN
OrgTechName: Network DoD
OrgTechPhone: +1-800-365-3642
OrgTechEmail: [email protected]


Weitere Infos:
The Defense Information Systems Agency (DISA), formerly known as the Defense Communications Agency is a combat support agency of the United States Department of Defense responsible for planning, developing, fielding, operating, and supporting command, control, communications, and information systems that serve the needs of the President, the Secretary of Defense, the Joint Chiefs of Staff, the Combatant commanders, and other Department of Defense components under all conditions of peace and war.

WAS machen diese Fritzen ? Den Amis muss echt org gehn ...

by the way ich kann nur sagen >> die firewall von sygate ist das beste was man sich
zusätzlich zum router installieren kann ... zonalarm ect sucks ... und norton ist überhaupt das letzte ...

so nun ist auch eine rule auf diesen ip bereich angelegt ... 29.0.0.0 - 29.255.255.255

so und weil ich die liste grad wieder mal bei der hand habe hier auch 4you ;o)

6.*.*.* - Army Information Systems Center
21.*.*.* - US Defense Information Systems Agency
22.*.*.* - Defense Information Systems Agency
26.*.*.* - Defense Information Systems Agency
29.*.*.* - Defense Information Systems Agency
30.*.*.* - Defense Information Systems Agency
49.*.*.* - Joint Tactical Command
50.*.*.* - Joint Tactical Command
55.*.*.* - Army National Guard Bureau
62.0.0.1 - 62.30.255.255
64.224.*.*
64.225.*.*
64.226.*.*
128.47.0.0 Army Communications Electronics Command (NET-TACTNET)
128.50.0.0 Department of Defense (NET-COINS)
128.51.0.0 Department of Defense (NET-COINSTNET)
128.56.0.0 U.S. Naval Academy (NET-USNA-NET)
128.63.0.0 Army Ballistics Research Laboratory (NET-BRL-SUBNET)
128.80.0.0 Army Communications Electronics Command (CECOM) (NET-CECOMNET)
128.98.0.0 - 128.98.255.255 Defence Evaluation and Research Agency (NET-DERA-UK)
128.154.0.0 NASA Wallops Flight Facility (NET-WFF-NET)
128.155.0.0 NASA Langley Research Center (NET-LARC-NET)
128.156.0.0 NASA Lewis Network Control Center (NET- LERC)
128.157.0.0 NASA Johnson Space Center (NET-JSC-NET)
128.158.0.0 NASA Ames Research Center (NET-MSFC-NET)
128.159.0.0 NASA Ames Research Center (NET-KSC-NET)
128.160.0.0 Naval Research Laboratory (NET- SSCNET)
128.161.0.0 NASA Ames Research Center (NET-NSN-NET)
128.183.0.0 NASA Goddard Space Flight Center (NET-GSFC)
128.216.0.0 MacDill Air Force Base (NET-CC-PRNET)
128.217.0.0 NASA Kennedy Space Center (NET-NASA-KSC-OIS)
128.236.0.0 U.S. Air Force Academy (NET-USAFA-NET)
155.7.0.0 American Forces Information (NET-AFISHQ-NET1)
155.8.0.0 U.S. ArmyFort Gordon (NET-GORDON-NET5)
155.9.0.0 United States Army Information Systems Command (NET-LWOOD-NET2)
155.74.0.0 PEO STAMIS (NET-CEAP2)
155.75.0.0 US Army Corps of Engineers (NET-CEAP3)
155.76.0.0 PEO STAMIS (NET-CEAP4)
155.77.0.0 PEO STAMIS (NET-CEAP5)
155.78.0.0 PEO STAMIS (NET-CEAP6)
155.79.0.0 US Army Corps of Engineers (NET-CEAP7)
155.80.0.0 PEO STAMIS (NET-CEAP
155.81.0.0 PEO STAMIS (NET-CEAP9)
155.82.0.0 PEO STAMIS (NET-CEAP1
155.83.0.0 US Army Corps of Enginers (NET-CEAP11)
155.84.0.0 PEO STAMIS (NET-CEAP12)
155.85.0.0 PEO STAMIS (NET-CEAP13)
155.86.0.0 US Army Corps of Engineers (NET-CEAP14)
155.87.0.0 PEO STAMIS (NET-CEAP15)
155.88.0.0 PEO STAMIS (NET-CEAP16)
155.178.0.0 Federal Aviation Administration (NET-FAA)
155.213.0.0 USAISC Fort Benning (NET-FTBENNNET3
155.214.0.0 Director of Information Management (NET-CARSON-TCACC )
155.215.0.0 USAISC-FT DRUM (NET-DRUM-TCACCIS)
155.216.0.0 TCACCIS Project Management Office (NET-FTDIX-TCACCI)
155.217.0.0 Directorate of Information Management (NET- EUSTIS-EMH1)
155.218.0.0 USAISC (NET-WVA-EMH2)
155.219.0.0 DOIM/USAISC Fort Sill (NET-SILL-TCACCIS)
155.220.0.0 USAISC-DOIM (NET-FTKNOX-NET4)
155.221.0.0 USAISC-Ft Ord (NET-FTORD-NET2)
195.10.*
205.96.* - 205.103.*
207.30.* - 207.120.*
207.60.* - 207.61.*
209.35.*.*
216.247.*.*
216.25.*.*
217.6.*.*
207.30.x.x - FBI Linux servers used to trap scanners
207.120.x.x
207.60.x.x
207.61.x.x

ich rieche paranoide firewall (plus paranoiden user am pc, ganz schlechte kombination)... das, was da als "portscan" bezeichnet wird, muß nicht unbedingt einer sein, und es war definitiv keiner, wenn nur ein einziger port angegeben ist. da braucht nur irgendwo ein mit einem wurm infizierter rechner rumstehen und der schlägt halt auf deiner firewall auf...

klingt einleuchtend.

am besten testen und zwar mit nem seek&destroy spybot...

Alert: Your Network Connection was terminated for 1.000.000.000 seconds
better not start counting, punk

als gegenmaßnahme - selber mal einen portscan durchführen.
und schaun welche wirklich offen sind!

gutes tool hierzu:

SuperScan4

Ist mein "Schweizer Taschenmesser" in Sachen Netzwerkmonitoring.
Die Bedienung müsste sich von selbst erklären.......

die alte shareware-version von languard hat mir in diversen studentenheimen schon zugang zu netten fileservern verschafft, die neue kommerzielle Version ist aber ihr geld nicht wert...

vanguard heißen die doch

ah cool, hast du die noch? vielleicht mit einer "testverlängerungsoption"???
wär fein wenn sich in dem fall mein postfach über einen neueingang freuen könnte

dank eines crashs vor nem Jahr sind alle bis dato gesammelten progs, tracks und filme von meiner platte radiert... irgendein kumpel hat´s sicher noch auf diskette...

@ dfx ...

ich hab nur den remoteport gepostet und nicht die local ports (bei mir) oder ??

und das waren mehr als genug ports die gescannt wurden von der ip ... daraufhin hat die firewall autom den alarm ausgespuckt ... die reagiert nicht wenn versucht wird nur auf einen port zu connecten .... sondern erst bei einem scan ... also nix paranoide firewall / user ...


kannst ja mal deine firewall logs durchschaun .. der ip bereich steht eh oben ;o)

@ all others .. wenn zurück attackieren dann sicher ned über den eigenen rechner ...

sondern über irgend einen remotehost ;o) kleiner tip am rande

Hab mir mal von nem Sysadmin sagen lassen, dass rückattacken erlaubt sind... ...Nachdem bei ihm ein brasilianer 2 Jahre lang jeden tag die hintertür gesucht hat, hat ihm die telekom mal darauf angehauen, dass man nicht portscannen oder attackieren darf, darauf sein konter: "Ich machs publik, dass ihr mich nicht gegen den wichser schützt, aber euch aufregt, wenn ich mich wehre..."
Keine Rückantwort, keine Einschränkung...

...b.t.w. gestern hab ich mit ihm geplaudert, sein brasilianer muß wieder mal neu aufsetzen, weil er ihm die ports auf mehr als lebenszeit gesperrt hat

ach, und portscans kommen also immer von nur einem einzigen remote port? oder wie?


ich hab keine firewall und somit auch keine logs. geht mir ehrlich gesagt am allerwertesten vorbei, wer bei mir an die tür klopft, ich mach sowieso nicht auf, egal ob das jetzt der hugo von nebenan oder ne verwurmte kiste in irgendeinem .gov-büro ist.


aber paranoid simmer nicht, gell?

aja, nur so nebenbei: der netzblock 29.0.0.0/8 mag zwar laut DNIC dem DoD gehören, der gesamte netzblock wird aber nicht geroutet und auch kein subnetz daraus. sprich es gibt im ganzen internet keinen einzigen rechner mit einer IP aus diesem bereich. schon komisch, daß du trotzdem von dort gescannt worden bist, oder?

so meister ... das verwendete prot. war udp ;o)

und zu deinem portscan ... wissen wir .. wie denen ihr routing ausschaun .. nein

und es ging hier auch mehr darum das es durchaus möglich ist das sie scans durchführen ... und ich hab mein logfile .. egal wie die das machen ...

apropos paranoid, stimmt garnicht, das können die amis garnicht....

die heuern um 20 cent die stunde ein paar chinesen oder inder an, die schreiben denen das

und was willst du mir damit sagen?


welcher "mein portscan"?

und ich weiß schon, wie deren routing ausschaut. und zwar definitiv international kein routing für irgendwas aus 29.0.0.0/8. das ist fakt, da gibt's nichts zu diskutieren drüber.


mag schon sein, aber wenn sie scannen, garantiert nicht von dieser IP, wäre nämlich relativ sinnlos, da sie keine pakete zurück empfangen könnten. und wenn das DoD wirklich portscans durchführt, glaubst du wirklich die sind so blöd und machen das von ihrem eigenen IP-block aus?

wenn du willst, kann ich dir auch einen haufen pakete von dieser IP aus schicken (schon mal was von IP spoofing gehört?) und deine firewall zum alarm schlagen bringen, wenn's dich glücklich macht. ich schick dir sogar einen portscan von der technoboard-IP weg, du wirst sie wahrscheinlich sofort blocken und wunderst dich dann, warum's tb nicht mehr geht...

was auch immer deine firewall da gesehen hat, es war sicher kein portscan vom DoD oder sonstwem.

wer weiß, vielleicht ham die sowas wie ne blackbox fürs internet...
wer sich erinnern kann... bei ner blackbox wurde der leitungswiderstand so verändert, dass die telefongesellschaft trotz gespräch durch die fehlende spannung nie einen gesprächsanfang registrieren konnten, sprich, das telefonat kam an, der zähler der post schlug aber erst ab einer höheren spannung an... Klingt für die Telefongesellschaft wie als hätte wer den Hörer aufzulegen vergessen...

Ich bin mir sicher, dass sowas für das internet bereits gibt... nur wir sind zu alt oder halt keine NSA angestellten und wissen daher erst in der nächsten ausgabe des Anarchist Cookbook wie das läuft

dele, ich kann dir versichern daß es sowas nicht gibt. internet ist ja im gegensatz zur guten alten telefonie (POTS) digital, und das gilt für alle darin mitspielenden komponenten: entweder ein IP-block wird geroutet, oder er wird es nicht. dazwischen gibt's nix. und wer weiß, wie internationales IP routing, sprich BGP peerings funktionieren, wird auch bestätigen können, daß es auch einfach nicht möglich ist, mal eben einfach so ein routing zu aktivieren und dann wieder zu deaktivieren. da kannst du regierung und großmacht sein so viel du willst. das internet gehorcht eben anderen gesetzen.

btw => was machst du?
bin grad am stöbern, ob diese ip-ranges auch in meinem fw-log auftaucht...

nope keine 29.xxx.xxx.xxx unterwegs bei mir.
einmal 21, einmal 30, einmal 55, einige male im 62er-range...
also so sehr sind die an mir gar nicht interessiert! da gibts ganz andere kaliber!
so wie vorhin einer von dem lästigen brasilianer erzählte, hab auch ich ein kleines digitales techtelmechtel mit einem interessierten user.

62.218.36.210 www.kremstalnet => diese SAU

dieses sackgesicht attackiert mich seit ewigkeiten auf diversen udp-ports!
das witzige ist, dass das kremstal meine eigentliche heimat ist und ich auch den chef vom provider persönlich kenne!
diese ratte von www-user bekommt noch ein paar tage galgenfrist!
falls es mich juckt, werd ich vielleicht noch nen konter fahren!
jedenfalls werde ich beim nächsten besuch in meinem heimatort, dem dort ansässigen provider einen besuch abstatten und mal auf diverse umstände hinweisen.

Wenn einem die Firewall zwischen 4:00 und 5:30 vom Schlafen abhält ist sie ein Scheiss. Und wofür Warnungen bei einem Scan? "Hilfe da hat mich einer böse angeschaut und der schaut auch so nach Verbrecher aus - der wird mich sicher gleich aufschlitzen". Solche Reports sind nur interessant, wenn man weiss was sie bedeuten - sonst Report dorthin wo die Packete gehen -> /dev/null.

b4n

PS: Als Portscanner geht doch nix über nmap - selbst Trinity hat damit die Matrix gescannt